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(57) Abstract: The invention relates to a method for transmitting data, 
in which a first signature (S) is formed according to a predefinable sig- 
nature generation method (SBV), depending on the data (D) to be trans- 
mitted, the first signature (S) is transmitted together with the data (D), a 
second signature (S') is generated according to the signature generation 
method, depending on the data that has been transmitted (D') and the 
first signature (S) is compared with the second signature (S'). The aim 
of the invention is to reduce the error masking probability during the 
transmission of data (D) using a signature analysis. To achieve this, the 
data to be transmitted is inverted (D), the first signature (S) is formed 
according to the predefinable signature generation method (SBV), de- 
pending on the data to be transmitted (D) and the inverted data (Dj), the 
first signature (S) and the data (D) are transmitted, the transmitted data 
(D*) is inverted, the second signature (S*) is generated according to the 
signature generation method, depending on the inverted data (PC) and 
the transmitted data (D'), and the first signature (S) is compared with 
the second signature (S*). 

(57) Zusammenfassung: Die Erfindung betrifft ein Verfahren zur 
Ubertragung von Daten, bei dem nach einem vorgebbaren Signatur- 
bildungsverfahren (SBV) eine erste Signatur (S) in AbhSngigkeit der 
zu Ubertragenden Daten (D) gebildet, die erste Signatur (S) zusammen 
mit den Daten (D) ubertragen, nach dem Signaturbildungsverfahren 
eine zweite Signatur (S*) in Abhangigkeit von den ubertragenen Daten 
(D') gebildet und die erste Signattir (S) mit der zweiten Signatur (S') 
verglichen wird. Um bei der Uberwachung der Ubertragung der Daten 
(D) mittels Signaturanalyse die Fehlermaskierungswahrscheinlichkeit 
zu reduzieren, wird vorgeschlagen, dass die zu Ubertragenden Daten (D) 
invertiert werden, nach dem vorgebbaren Signaturbildungsverfahren 
(SBV) in Abhangigkeit der zu Ubertragendenden Daten (D) und der 
invertierten Daten (D^) die erste Signatur (S) gebildet wird, die erste 
Signatur (S) und die Daten (D) ubertragen werden, die ubertragenen 
Daten (D') invertiert werden, in Abhangigkeit dieser invertierten Daten 
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und der ubertragenen Daten (D*) nach dem Signaturbildungsverfahren (SBV) die zweite Signatur (S*) gebildet wild und die erste 
Signatur (S) mit der zweiten Signatur (S*) veiglichen wind. 
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10 Verfahren zur Obertraqunq von Paten 



Die vorliegende Erfindung betrifft ein Verfahren zur 
Obertragung von Daten, bei dem nach einem vorgebbaren 
15 Signaturbildungsverf ahren eine erste Signatur in 

Abhangigkeit der zu ubert ragenden Daten gebildet wird. Die 
erste Signatur wird zusammen mit den Daten in sogenannten 
Botschaften ubertragen. Nach dem Signaturbildungsverf ahren 
wird eine zweite Signatur in Abhangigkeit von den 
20 iibertragenen Daten gebildet und die erste Signatur mit der 
*^ zweiten Signatur zum Zwecke einer Signaturanalyse 
verglichen . 

Die Erfindung betrifft auBerdem ein Computerprogramm, das 
25 auf einem Steuergerat, insbesondere auf einer Recheneinheit 
ablauffahig ist. 

Schlielilich betrifft die vorliegende Erfindung auch ein 
Steuerger^t fur ein Kraftf ahrzeug . Das Steuerger^t umfasst 

30 eine Recheneinheit, die insbesondere als ein Mikroprozessor 
ausgebildet ist, und ein Speicherelement , das insbesondere 
als ein Schreib-Lese-Speicher mit wahlfreiem Zugriff (RAM) , 
als ein Nur-Lese-Speicher (ROM) oder als ein Flash-Speicher 
(flash-Memory) ausgebildet ist. Auf dem Speicherelement ist 

35 ein Computerprogramm abgelegt, das auf der Recheneinheit 
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ablauff^hig ist. 
Stand der Technik 

Aus dem Stand der Technik ist die Signaturanalyse als eine 
Methode zur Datenkomprimierung bekannt, die auf der 
sogenannten CRC (Cyclic Redundancy Check) -Methode basiert. 
In Abhangigkeit der zu ubertragenden Daten wird nach einem 
vorgebbaren Signaturbildungsverf ahren ein resultierendes 
Datenwort gebildet, welches die Signatur darstellt und den 
komprimierten Datenstrom charakterisiert , Die 
Wahrscheinlichkeit, dass trotz Fehlern in dem Datenstrom 
eine richtige Signatur gebildet wird, ist sehr gering und ' 
nimmt mit der Datenbreite des Signaturwortes ab. Signaturen 
werden beispielsweise eingesetzt fur die Sicherung von 
Datenube'rtragungen, zur Oberwachung von Festwertspeichern 
von Computern und zur Identif izierung von Datenstromen, wie 
zum Beispiel von digitalen Hardware-Signalen im Rahraen 
eines Tests von Schaltungen oder von Daten, die ein 
Schriftstiick enthalt. Zum Stand der Technik wird verwiesen 
auf Abramovici, Miron, et al.: Digital Systems Testing and 
Testable Design, New York, IEEE Press, 1990. 

In Hardware wird die Signatur ublicherweise sequentiell Bit 
fur Bit mit Hilfe eines linear ruckgekoppelten 
Schieberegisters (LFSR; Linear Feedback Shift Register) 
gebildet. Es ist bekannt, dieses sequentielle 
Signaturanalyse-Verf ahren auch in Software zu realisieren. 
Dieses Verfahren ist aber wegen der sequent iellen 
Arbeitsweise entweder sehr langsam oder braucht relativ 
viel Speicherplatz fur Tabellen (sogenannte Lookup-Tables), 
urn die Berechnungszeit zu verkijrzen. Zum Stand der Technik 
von solchen sof twaremaftig realisierten sequentiellen 
Verfahren zur Signaturanalyse wird auf Williams, R. N. : A 
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Painless Guide to CRC Error Detection Algorithms, Version 
3, 19.08.1993, Rocksoft Pty Ltd., Hazelwood Park 5066, 
Australia, ftp : //ftp. rocksoft . com/papers /crc_v3 . txt 
verwiesen. 

Des weiteren ist ein Verfahren zur Signaturbildung mit 
einer parallelen Arbeitsweise (Datenwort fur Datenwort) 
bekannt. Dieses bekannte Verfahren arbeitet beispielsweise 
mit Hilfe eines Signaturregisters mit mehreren Eingangen 
(MISR; Multiple Input Shift Register) . Durch die parallele 
Arbeitsweise konnen zum Beispiel mit einem 32 Bit-Prozessor 
32 Bit Eingangsdaten in einem Schritt verarbeitet werden. 
Ein derartiges Verfahren ist beispielsweise aus der 
US 5, 938,784 bekannt. 

Gerade fur Sicherheitsanwendungen in einem Kraf tf ahrzeug, 
wie beispielsweise Steer-by-Wire oder autonomes Fahren, 
werden f ehlertolerante und damit redundante 
Elektroniksysteme eingesetzt, die einen hohen Bedarf an 
sicherem Datenaustausch zwischen Systemen, Steuergeraten, 
Rechnern und/oder Recheneinheiten haben. Diese 
Kommunikation kann in drei Kommunikationsebenen erfolgen. 
Eine System-Kommunikation zwischen zwei oder mehr 
Steuergeraten erfolgt bspw. Uber ein Bussystemen, wie 
beispielsweise CAN (Controller Area Network), TTCAN (Time 
Triggered CAN), FlexRay oder TTP/C (Time Triggered Protocol 
Class C) . Eine Steuerger^te-Steuergerate-Kommunikation bzw. 
eine Rechner-Rechner-Kommunikation, an der zwei 
Steuergerate bzw. Rechner beteiligt sind, erfolgt uber 
Schnittstellen, wie beispielsweise RS232, RS'a22, SPI 
(Serial Peripheral Interface) oder SCI (Serial 
Communications Interface) . Eine Recheneinheit- 
Recheneinheit-Kommunikation erfolgt innerhalb eines 
Steuergerates . Da bei diesen Systemen neben der Rechenzeit 
die Datenkommunikationszeit einen Engpass darstellt, ist 
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eine Verwendung des MISR-Verf ahren zur Absicherung der 
vielen Datenkommunikationen von besonderem Vorteil. Es 
reduziert die er f orderliche Rechenzeit zur Absicherung der 
Datenkommunikation bei Sender und Empfanger auf ein 
5 Minimum. 

Bei den bekannten Verfahren kann es - wenn auch auilerst 
selten - vorkommen, dass trotz fehlerhafter Daten innerhalb 
einer Botschaft eine fehlerfreie Signatur gebildet wird. 

10 Das heifit, dass die zu iibertragenden Daten und die 

ubertragenen Daten zwar nicht miteinander ubereinstimmen, 
aber dennoch die erste Signatur, welche uber die zu 
iibertragenden Daten gebildet wurde, und die zweite 
Signatur, welche uber die Ubertragenen Daten gebildet 

15 wurde, ubereinstimmen- Dies wird als Fehlermaskierung- 
bezeichnet, 

Der vorliegenden Erfindung liegt die Aufgabe zu Grunde, bei 
der tiberwachung der Obertragung von Daten ein Verfahren 
20 bereit zu stellen, das eine schnelle Bildung einer Signatur 
erlaubt und die Fehlermaskierungswahrscheinlichkeit 
reduziert . 

Zur L5sung dieser Aufgabe schlagt die vorliegende Erfindung 
25 ausgehend von dem Verfahren der eingangs genannten Art vor, 
dass die zu ubertragenden Daten invertiert werden, nach dem 
vorgebbaren Signaturbildungsverf ahren in Abhangigkeit der 
Daten und der invertierten Daten die erste Signatur 
gebildet wird, die erste Signatur und die Daten ubertragen 
30 werden, die ubertragenen Daten invertiert werden, in 

Abhangigkeit dieser invertierten Daten und der ubertragenen 
Daten nach dem Signaturbildungsverf ahren die zweite 
Signatur gebildet wird und die erste Signatur mit der 
zweiten Signatur verglichen wird. 



35 
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Vorteile der Erfindung 

Erf indungsgemali wird die Signatur nicht nur uber die zu 
5 ubertragenden bzw. ubertragenen Daten, sondern auch uber 
die invertierten Daten gebildet. Durch die zusatziiche 
Verarbeitung der invertierten Daten kann die 
Fehlermaskierungswahrscheinlichkeit deutlich reduziert 
werden. Der zusatziiche Aufwand fur die Verarbeitung der 
10 invertierten Daten ist gering, so dass nach wie vor kurze 
Rechenzeiten erzielt werden konnen. Das erf indungsgemafie 
Verfahren eignet sich deshalb insbesondere zur Anwendung in 
Sicherheitsanwendungen in einem Kraf tf ahrzeug. 

15 Das erf indungsgemaUe Verfahren kann sowohl hardwaremafiig 

als auch sof-twaremaBig realisiert sein. Die sof twaremalJige 
Realisierung hat den Vorteil geringerer Kosten und eines 
geringeren Gewichtes, da keine Hardware-Bauteile fur die 
Schaltung erforderlich sind. AuBerdem bringt eine 

20 softwaremaBige Realisierung eine groBere Flexibilit^t (kann 
ohne groBen Aufwand umprogrammiert und an neue 
Anf orderungen angepasst werden) . 

GemaB einer vorteilhaf ten Weit erbildung der Erfindung wird 
25 vorgeschlagen, dass mittels eines Signaturregisters mit 
mehreren Eingangen (MISR; Multiple Input Shift Register) 
die erste Signatur und/oder die zweite Signatur bit- 
parallel (wortweise) gebildet werden. Dadurch wird die 
Geschwindigkeit der Signaturbildung erhoht . 

30 

In einer bevorzugten Ausf uhrungsf orm der Erfindung werden 
die erste Signatur und/oder die zweite Signatur liber die 
Daten mehrerer Botschaften gebildet. Es werden also nicht 
die Daten jeder ubertragene Botschaft mit einer eigenen 
35 Signatur individuell abgesichert, sondern es werden die 
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Daten mehrerer Botschaften gemeinsam abgesichert. Damit 
wird erreicht, dass das Datenvolumen der fur die 
Signaturanalyse zu ubertragenden Daten reduziert wird. 

5 Dabei wird vorteilhaf terweise eine Signatur auf mehrere 
. Botschaften verteilt ubertragen. Diese sogenannte Methods 
der verteilten Signaturubertragung bei der die gemeinsame 
Signatur auf die Botschaften verteilt wird, die die 
abzusichernden Daten enthalten, stellt eine zusatzliche 

10 Moglichkeit zur Reduzierung des zu ubertragenden 

Datenvolumens dar. Ein Steuergerat ubertragt beispielsweise 
auf einem CAN-Bus pro Systemzyklus drei Botschaften mit je 
maximal acht Byte, die jeweils mit einer 32 Bit~Signatur 
abgesichert werden sollen. Wenn die Daten bei der 

15 Empfangseinheit erst nach dem Empfang aller drei 

Botschaften weiterverarbeitet werden, macht es Sinn, die 
Daten der Botschaften nicht einzeln mit 32 Bit, sondern 
gemeinsam mit 32 Bit abzusichern und die 32 Bit (gleich 
vier Byte) Signaturd'aten derart zu verteilen, dass die 

20 Botschaften optimal mit Daten ausgelastet sind. Hierdurch 
wird einerseits Datenvolumen fur die Datenubertragung 
reduziert (vier Byte Signatur anstatt 12 Byte Signatur) und 
andererseits ist die ubertragene Signatur nicht so anfallig 
gegen eine Dat enver f alschung (Maskierung) durch eine 

25 Storung, da die Signatur nicht als ein Block, sondern als 
drei Teilblocke zusammen mit den einzelnen Datenworten zu 
unterschiedlichen Zeitpunkten ubertragen wird. 

Bei sicherheitsrelevanten Systemen wie Steer-by-Wire, 
30 autonomes Fahren, automatische Spurfuhrung sowie Systemen 
zur Fahrdynamikregelung uber ein Verbundsystem aus Bremse, 
Lenkung, Fahrwerk und so weiter, werden aus 
Sicherheitsgrunden Mehrrechnersysteme eingesetzt. Dabei 
werden zwei, drei oder vier Recheneinheiten pro Steuergerat 
'35 eingesetzt. Bei Flugzeugen und in der Raumfahrt kSnnen 
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sogar Systeme mit funf und mehr Recheneinhei ten pro 
Steuergerat eingesetzt werden. Ein Grundprinzip dieser 
Mehrrechnersysteme ist, dass vor Beginn von Berechnungen 
alle Eingangsdaten unter den Recheneinheiten ausgetauscht 
und danach die Startdaten fur die Berechnung bitgenau 
abgestiiiunt werden (sogenanntes Eingangsvoting) . Die 
Berechnungsergebnisse werden ebenfalls zwischen alien 
Recheneinheiten ausgetauscht und auf Bitgenauigkeit 
verglichen (sogenanntes Ausgangsvoting) . 

Sind die zu Qbertragenden Daten bitgenaue Eingangsdaten, 
die beispielsweise in Botschaften aber Datenbusse zu den 
Recheneinheiten gelangen oder Berechnungsergebnisse, die 
parallel auf mehreren Rechnern redundant erzeugt werden, so 
werden vorzugsweise zur Oberprufung einer Ubereinstimmung 
dieser Daten lediglich die entsprechenden Signaturen 
tibertragen. 

Insbesondere unter Einsatz des besonders' sqhnellen und 
zuverlassigen erf indungsgemafien Verfahrens zur 
Signaturbildung kann damit das zu Obertragende Datenvolumen 
reduziert und eine Verarbeituhgsgeschwindigkeit erhoht 
werden. 

Vorteilhafterweise wird das erf indungsgemalJe Verfahren zur 
Oberprufung des Speicherinhaltes eines Nur-Lese-Speichers, 
Flash-Speichers oder eines Schreib-Lese-Speichers 
verwendet. Dies ermoglicht ein effizientes Uberprufen der 
Datenkonsistenz des Speicherinhaltes. 

Vorzugsweise werden bei dieser erf indungsgemafien Verwendung 
die Daten des zu uberprOf enden Speicherinhaltes invertiert, 
nach dem vorgebbaren Signaturbildungsverfahren in 
Abhangigkeit der zu uberprUf enden Daten und der 
invertierten Daten die erste Signatur gebildet und in einem 
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Speicherbereich eines Nur-Lese-Speichers , Flash-Speichers 
Oder eines Schreib-Lese-Speichers als eine Sollsignatur 
abgespeichert . Far eine Qberprufung der sich in dem zu 
uberpruf enden Speicherbereich befindlichen Daten, werden 
diese Daten invertiert, in Abhangigkeit dieser invertierten 
Daten und der Daten nach dem Signaturbildungsver f ahren die 
zweite Signatur gebildet und mit der abgespeicherten 
Sollsignatur verglichen. Es wird also eine erste Signatur, 
die sogenannte Sollsignatur, uber einen zu uberpruf enden 
Speicherinhalt einmalig erzeugt und abgespeichert. Soil 
dieser Speicherinhalt dann beispielsweise zu einem spateren 
Zeitpunkt Oberpraft werden, so wird uber den aktuellen 
Speicherinhalt eine zweite Signatur erzeugt und mit der 
abgespeicherten Sollsignatur verglichen. Stimmen diese 
Signaturen nicht Qberein, kann davon ausgegangen werden, 
dass sich der Inhalt des zu uberwachenden Speicherbereiches 
verSndert hat. Dies erlaubt eine besonders effiziente 
Oberprufung eines Speicherbereiches auf Datenkonsistenz , da 
zu einer Oberprufung der Daten lediglich die Signaturen 
verglichen werden mussen. Aufterdem muss die Sollsignatur 
nur einmal gebildet werden . 

Von besonderer Bedeutung ist die Realisierung des 
erf indungsgemalien Verfahrens in der Form eines 
Computerprogramms . Dabei ist das Computerprogramm auf einem 
Steuergerat, insbesondere auf einer Recheneinheit 
ablauffahig und zur Ausfuhrung des erf indungsgemalien 
Verfahrens geeignet. In diesem Fall wird also die Erfindung 
durch das Computerprogramm realisiert, so dass dieses 
Computerprogramm in gleicher Weise die Erfindung darstellt 
wie das Verfahren, ' zu dessen Ausfuhrung das 
Computerprogramm geeignet ist. Das Computerprogramm ist 
vorzugsweise auf einem Speicherelement abgespeichert. Als 
Speicherelement kann insbesondere ein elektrisches 
Speichermedium zur Anwendung kommen, beispielsweise ein 
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Schreib-Lese-Speicher mit wahlfreiem Zugriff (RAM; Random- 
Access-Memory) , ein Nur-Lese-Speicher (ROM; Read-Only- 
Memory) oder ein Flash-Speicher (Flash-Memory) . 

Als eine weitere Losung der Aufgabe der vorliegenden 
Erfindung wird ausgehend von dem Steuergerat der eingangs 
genannten Art vorgeschlagen, dass das Steuergerat zur 
Ausfahrung des erf indungsgemalien Verfahrens geeignet ist, 
wenn das Computerprogramm auf dem Steuergerat, insbesondere 
auf einer von dem Steuergerat umfassten Recheneinheit , 
abiauft . 



Zeichnungen 

Weitere Merkmale, Anwendungsmoglichkeiten und Vorteile der 
Erfindung ergeben sich aus der nachf olgenden Beschreibung 
von Ausfuhrungsbeispielen der Erfindung, die in den 
Zeichnungen dargestellt sind. Dabei bilden alle 
beschriebenen oder dargestellten Merkmale fur sich oder in 
beliebiger Kombination den Gegenstand der Erfindung, 
unabhangig von ihrer Zusammenf assung in den Patentanspruche 
Oder deren Ruckbeziehung sowie unabhangig von ihrer 
Formulierung beziehungsweise Darstelluhg in der 
Beschreibung beziehungsweise in den Zeichnungen. Es zeigen: 

Figur 1 ein erf indungsgemafJes Steuergerat gemafi einer 
bevorzugten Ausf uhrungsf orm zur Steuerung 
und/oder Regelung einer Sicherheitsanwendung in 
einem Kraf tf ahr zeug; 

Figur 2 ein Ablauf diagramm eines erf indungsgema/ien 
Verfahrens zur Signaturanalyse; 



Figur 3 ein Steer-by-Wire System mit zwei Steuergeraten; 
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Figur 4 ein Rechnersystem, das zur Abarbeitung einer in 
Software realisierten Ausf Qhrungsf orm des 
erf indungsgemaften Verfahrens geeignet ist; 

5 

Figur 5 ein Ablauf diagramm eines erf indungsgemaflen 
Signaturbildungsverf ahrens gemafi einer 
bevorzugten Ausf uhrungsf orm; 

10 Figur 6 Funktionsprinzip des MISR-Verf ahrens zur 
Signaturbildung in Hardware; und 

Figur 7 Funktionsprinzip des lyilSR-Verf ahrens zur 

Signaturbildung unter Verwendung von EXOR- 
15 Operatoren. 



Beschreibung der Ausf uhrungsbeispiele 

20 Aus dam Stand der Technik ist die Signaturanalyse als eine 
Methode zur Datenkomprimierung bekannt, die auf der 
sogenannten CRC (Cyclic Redundancy Check) --Methode basiert. 
In Abhangigkeit der zu libertragenden Daten wird nach einem 
vorgebbaren Signaturbildungsverf ahren ein result ierendes 

25 Datenwort gebildet, welches die Signatur darstellt und den 
komprimierten Datenstrom charakterisiert . Die 
Wahrscheinlichkeit, dass trotz Fehlern in dem Datenstrom 
die richtige Signatur gebildet wird, ist sehr gering und 
nimmt mit der Datenbreite des Signaturwortes ab, Signaturen 

30 warden beispielsweise eingesetzt fur die Sicherung von 

Datenubertragungen, zur Oberwachung von Festwertspeichern 
von Computern und zur Identif izierung von Datenstromen, wie 
zum Beispiel von digitalen Hardware-Signalen im Rahmen 
eines Tests von Schaltungen oder von Daten, die ein 

35 Schriftstuck enthalt . 
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In Hardware wird die Signatur ublicherweise sequentiell Bit 
fur Bit mit Hilfe eines linear ruckgekoppelten 
Schieberegisters (LFSR; Linear Feedback Shift Register) 
gebildet. Es ist bekannt, dieses sequentielle 
Signaturanalyse-Verf ahren auch in Software zu realisieren. 
Dieses Verfahren ist aber wegen der sequentiellen 
Arbeitsweise entweder sehr langsam oder braucht relativ 
viel Speicherplat z fiir Tabellen (sogenannte Lookup-Tables), 
um die Berechnungszeit zu verkurzen, 

Des weiteren ist ein Verfahren zur Signaturbildung mit 
einer parallelen Arbeitsweise (Datenwort fur Datenwort) 
bekannt- Dieses bekannte Verfahren arbeitet beispielsweise 
mit Hilfe eines Signaturregisters rait raehreren Eingangen 
(MISR; Multiple Input Shift Register) . Durch die parallele 
Arbeitsweise kSnnen zum Beispiel mit einem 32 Bit-Prozessor 
32 Bit Eingangsdaten in einem Schritt verarbeitet werden. 

Gerade fiir Sicherheltsanwendungen in einem Kraf tf ahrzeug, 
wie beispielsweise Steer-by-Wire oder autonomes Fahren, 
werden f ehlertolerante und damit redundante 
Eiektroniksysteme eingesetzt,' die einen hohen Bedarf an 
sicherem Datenaustausch zwischen Systemen, Steuergeraten 
und Recheneinheiten haben. Da bei diesen Systemen neben der 
Rechenzeit die Datenkommunikationszeit einen Engpass 
darstellt, bietet eine Verwendung des MISR-Verf ahren zur 
Absicherung der vielen Datenkommunikationen einen 
entscheidenden Vorteil. Es reduziert die erf orderliche 
Rechenzeit zur Absicherung der Datenkommunikation bei 
Sender und Empfanger auf ein Minimum. Bei den bekannten 
Verfahren kann es vorkommen, dass trotz einer fehlerhaften 
Datenubertragung in der Empf angseinheit eine fehlerfreie 
Signatur gebildet wird. Dies wird als Fehlermaskierung 
bezeichnet . 
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Dem gegenuber hat das erf indungsgemalie Verfahren den 
Vorteil, dass die Wahrscheinlichkeit einer Fehlermaskierung 
deutlich reduziert wird. 

In Figur 1 ist ein Steuergerat SGI zum Steuern und/oder 
Regeln einer Sicherheitsanwendung 40 dargestellt. Das 
erfindungsgemaiie Verfahren ist beispielsweise als ein 
Computerprogramm realisiert, das auf den Recheneinheit en 
REl, RES des Steuergerats SGI ablauft- Das Computerprogramm 
ist auf Speicherbereichen 21/31 von Speicherelementen 20, 
30 abgespeichert, wobei die Speicherbereiche 21, 31 als 
Nur-Lese-Speicher (ROM; Read Only Memory) ausgebildet sind. 
Zur Ausfiihrung des Computerprogramms wiird dieses uber die 
Datenverbindungen 25, 35 an die Recheneinheiten REl, RE3 
ubertragen. Ergebnisse von Berechnungen, die im Rahmen der 
Abarbeitung des Computerprogramms ermittelt werden, werden 
in umgekehrter Richtung Ober die Datenleitungen 25, 35 an 

•die Speicherelemente 20, 30 ubertragen und dort in den 
Speicherbereichen 22, 32 abgespeichert , die als Schreib- 

Lese-Speicher (RAM; Random Access Memory) ausgebildet sind. 

Eine mogliche Arbeitsweise des Steuergerats SGI ist 
f olgende : 

Uber die Datenleitung 45 erhalt das Steuergerat SGI 
Eingangsgrolien, die den Zustand der zu steuernden und/oder 
zu regelnden Sicherheitsanwendung 40 beschreiben. Diese 
Eingangsgrolien werden mindestens einer Recheneinheit REl 
zugefuhrt. Dort wird durch eine Ausfuhrung des in dem 
Speicherbereich 21 abgespeicherten Computerprogramms eine 
erste Signatur der die Eingangsgrofien beschreibenden Daten 
erzeugt. Diese Daten werden dann zusammen mit der erzeugten 
ersten Signatur Uber die Datenleitung 15 an die 
Recheneinheit RE3 ubertragen. Dort wird anhand der 
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erhaltenen Daten eine zweite Signatur erzeugt und diese mit 
der von der Recheneinheit REl erhaltenen ersten Signatur 
verglichen. Stirnmen beide Signaturen uberein, so wird davon 
ausgegangen, dass die von der Recheneinheit REl 
Oiabertragenen Daten und die von der Recheneinheit RE3 
erhaltenen Daten ubereinstimmen . 

In einer anderen moglichen Arbeitsweise des Steuergerats 
SGI werden die EingangsgroBen direkt beiden Recheneinheiten 
REl, RES zugefahrt. Beide Recheneinheiten REl, RE3 bilden 
daraufhin eine jeweils erste Signatur, die die erhaltenen 
EingangsgrSflen charakterisieren. Ober die Datenleitung 15 
warden daraufhin die Signaturen zwischen den 
Recheneinheiten REl, RE3 ausgetauscht . Die so empf angenen 
Signaturen werden dann mit der selbst erzeugten ersten 
Signatur in jeder der beiden Recheneinheiten REl, RE3 
verglichen. Stellt raindestens eine der Recheneinheiten REl, 
RES fest, dass die selbst erzeiagte erste Signatur und die 
von der jeweils anderen Recheneinheit empfangene Signatur 
nicht abereinstimmen, so veranlasst diese Recheneinheit, 
dass die entsprechende Anwendung Oder das gesamte 
Steuerger'at SGI in einen definierten Ruhezustand versetzt 
wird (fail silent)". Ein solcher Fehlerfall kann 
beispielsweise durch eine Storung der Datenleitung 15 
auftreten oder durch eine Storung einer nicht dargestellten 
Datenleitung mit zugehoriger Logik, die die EingangsgroBen 
innerhalb des Steuergerates SGI von einem Dateneingang zu 
den Recheneinheiten REl, RES ubermittelt . 

Stirnmen die Signaturen der Eingangsgroften in beiden 
Recheneinheiten REl, RE3 uberein, wo werden diese 
EingangsgroBen entsprechend der Steuer- und Regelaufgabe 
des Steuergerates SGI weiterverarbeitet . Dabei werden 
Ergebnisdaten erzeugt, die zur Steuerung und/oder Regelung 
der Sicherheitsanwendung 40 benOtigt werden. 
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Anhand der in den Recheneinheiten REl, RE3 erzeugten 
Ergebnisdaten wird in den Recheneinheiten REl, RE3 jeweils 
eine erste Signatur erzeugt. Diese ersten Signaturen werden 
dann uber die Datenleitung 15 mit der jeweils anderen 
Recheneinheit ausgetauscht . Jede Recheneinheit REl, RE3 
vergleicht daraufhin die so erhaltene Signatur mit der 
zuvor berechneten ersten Signatur. Stimmen beide Signaturen 
nicht Qberein, so wird davon ausgegangen, dass ein 
Obertragungsfehler der Signaturen oder ein 
Berechnungsf ehler der Ergebnisdaten in mindestens einer 
Recheneinheit vorliegt und es werden entsprechende 
MalJnahmen (bspw. Neuberechnung oder fail silent) 
veranlasst, 

Stimmen die selbst berechnete und die Qbertragene Signatur* 
bei beiden Recheneinheiten REl, RES uberein, so veranlasst 
das Steuergerat SGI, dass diese Ergebnisdaten zur Steuerung 
der Sicherheitsanwendung 40 an diese mittels der 
Datenleitung 45 ubertragen werden. Ebenfalls wird die 
dazugehorige Signatur als eine erste Signatur an die 
Sicherheitsanwendung 40 ubermittelt. Dabei kann die 
Signatur als * eigenstandige Botschaft ubermittelt werden 
Oder uber mehrere Botschaften verteilt werden, 
beispielsweise, wenn die durch die Signatur 
charakterisierten 'Ergebnisdaten selbst auch uber mehrere 
Botschaften verteilt ubermittelt werden. Somit wird das 
Datenvolumen der zu ubertragenden Daten verringert und eine 
Storanf alligkeit der ubertragenden Daten reduziert. 

Figur 2 zeigt ein Ablauf diagramm eines erf indungsgemafien 
Verfahrens zur Signaturanalyse . Hierbei wird davon 
ausgegangen, dass eine Recheneinheit REl eines 
Steuergerates SGI einer anderen Recheneinheit RE2, die 
Bestandteil. eines anderen Steuergerates SG2 ist, Daten 
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abermittelt und in der Recheneinheit RE2 mittels einer 
Signaturanalyse geprUft warden soli, ob ein 
Obertragungsfehler vorliegt. 

Dazu wird in einem Schritt 90 das Verfahren gestartet. In 
einem Schritt 91 erzeugt die erste Recheneinheit REl in 
Abhangigkeit der zu ubermittelnden Daten D eine erste 
Signatur S. Dazu wird ein vorgebbares 

Signaturbildungsverfahren SBV verwendet. In einem Schritt 
92 warden diese Daten zusammen mit der ersten Signatur S 
mittels geaigneter Botschaften an die zweite Recheneinheit 
RE2 ubermittelt. Dort wird in einem Schritt 93 anhand der 
abermittelt en Daten D' ebenfalls gemaiS das 
Signaturbildungsverfahrens SBV eine zweite Signatur S' 
erzeugt. In ainem Abf rageschritt 94 werden in der 
Recheneinheit RE2 die Signaturen S, S' auf Obereinstimmung 
gepraft. Stimmen diese Signaturen S, S'- Oberein, so wird 
davon ausgegangen, dass kein Obertragungsfehler vorliegt 
und das Verfahren in Schritt 96 beendet. Unterscheiden sich 
jedoch die Signaturen S, S' , so wird auf eine Storung der 
Datenubertragung geschlossen und in einem Schritt 95 ein 
Verfahren gestartet, das die zugrunde liegende 
Sicherheitsanwendung in einen definierten Ruhezustand 
uberfuhrt (fail silent). Anschliefiend andet das Verfahren 
in Schritt 96. 

Figur 3 zeigt eine Sicherheitsanwendung 40, die mit zwei 
Steuergeraten SGI, SG2 betrieben wird. Dabei entsprechen 
die in Figur 1 vorhandenen Elemente den in Figur 3 
dargestellten Elementen mit denselben Bezugszeichen . In 
Figur 3 ist zusStzlich das Steuergerat 3G2 gezeigt, das 
2wei Recheneinheiten RE2, RE4 umfasst, die uber eine 
Datenleitung 515 miteinander verbunden sind. Die 
Recheineinheit RE2 ist mittels einer Datenleitung 525 mit 
einem Speicherelament 520 und die Recheneinheit RE4 ist 
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mittels einer Datenleitung 535 mit einem Speicherelement 
530 verbunden, AuBerdem ist die Recheneinheit REl des 
Steuergerates SGI mit der Recheneinheit RE2 des 
Steuergerates SG2 uber die Datenleitung 46 verbunden. 
5 Analog dazu verbindet die Datenleitung 47 die Recheneinheit 
RE3 mit der Recheneinheit RE4 . 

Ein Anwendungsbeispiel ist ein Steer-by-Wire System, bei 
dem mittels eines an einem Lenkrad 60 angebrachten 
10 Absolutwinkelgebers 61 ein Lenkwunsch eines Fahrers erkannt 
und mittels einer Datenleitung 45 dem Steuergerat SGI 
zugefuhrt wird und durch das zweite Steuergerat SG2 eine 
hydraulische Lenkvorrichtung 70 gesteuert wird, die ein 
Einlenken der Rader 71 bewirkt. 

15 

Fur die sichere DatenQbertragung zwischen den Steuergeraten 
SGI, SG2 Bind die beiden redundanten Datenleitungen 46, 47 
beispielsweise als CAN, TTCAN oder FlexRay realisiert. FUr 
eine Kommunikation zwischen Steuergerat SGI und Steuergerat 
20 SG2 werden pro Regelzyklus mehrere Botschaften 

ausgetauscht , die beispielsweise MessgroJSen, Stellgrofien 
und Statusinf ormationen enthalten. 

Wird liber die Datenleitung 45 ein Lenkbefehl ubermittelt, 
25 so wird mit den dadurch libermittel ten Daten wie in dem in 

Figur 1 beschriebenen Verfahren in den Recheneinheiten REl, 
RE3 des Steuergerates SGI eine Signaturanalyse 
durchgef uhrt . Anschliefiend werden die Daten entsprechend 
von in den Speicherelementen 20, 30 abgespeicherten 
30 Computerprogrammen verarbeitet. Die damit erzeugten 
Ergebnisdaten werden wieder der bereits in Figur 1 
dargestellten Signaturanalyse bezuglich der Recheneinheiten 
REl, RE3 unterzogen. Wird dabei kein Obert ragungs- oder 
Rechenfehler erkannt, so Ubermitteln die Recheneinheiten 
35 REl, RE3 mittels der redundant ausgelegten Datenleitungen 
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4 6, 47 die Ergebnisdaten an die Recheneinheiten RE2, RE4 
des.Steuergerats SG2 . Dabei wird auch hier zusammen mit den 
Daten die entsprechende erste Signatur Qbermittelt . 

Die Recheneinheiten RE2, RE4 bilden nun ihrerseits 
unabhangig voneinander anhand der jeweils erhaltenen Daten 
eine zweite Signatur und vergleichen diese mit der 
tibermittelten ersten Signatur, um eine Storung der Daten 
wahrend der Obertragung von dem Steuergerat SGI zu dem 
Steuergerat SG2 zu erkennen. 

In Figur 4 ist ein Rechnersystem 2 schematisch dargestellt, 
das eine Recheneinheit REl und einen Nur-Lese-Speicher 21 
umfasst. Die "Recheneinheit REl umfasst eine sogenannte ALU 
(Arithmetic-Logic-Unit) 80 und mehrere Register FR, 
Rom_Adr, Sx, Dx, Gx zur Speicherung von Adressen und Daten. 
Auiierdem verfagt die Recheneinheit REl tiber ein sogenanntes 
Carry-Flag CF, das durch einen 1-bit breiten Bereich des 
Flag-Registers FR realisiert ist. 0.ber eine Adressleitung 
25a und eine Datenleitung 25b sind die Recheneinheit REl 
und der Nur-Lese-Speicher 21 verbunden. Der Nur-Lese- 
Speicher 21 umfasst adressierbare Bereiche zur Speicherung 
von Daten, von denen aus Grunden der Obersichtlichkeit in 
Figur 4 nur drei Bereiche dargestellt und mit den 
Bezugszeichen Al, A2, A3 versehen sind. 

Eine auf dem Rechnersystem 2 ablaufende Signaturbildung, 
eines erf indungsgemSISen Verfahrens, wie es beispielsweise 
in den Figuren 1, 3 dargestellt ist, ist mittels eines 
Ablaufdiagramms in Figur 5 beschrieben. Das Verfahren 
beginnt in einem Schritt 100. In einem Schritt 101 wird ein 
Adressregister Rom_Adr mit einer Adresse geladen, die auf 
einen adressierbaren Bereich Al des Nur-Lese-Speichers 21 
verweist. In einem Schritt 102 wird ein Signaturregister Sx 
mit dem Wert null initialisiert . Das Verfahren ist so 
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ausgelegt, das sich bei Beenden des Verfahrens in dem 
Signaturregister Sx die berechnete Signatur befindet. In 
einem Schritt 103 wird ein Generatorpolynom, das geeignet 
ist, iiber einer Menge von Daten eine diese Daten 
5 charakterisierende Signatur zu bilden, in das Register Gx 
geladen . 

In einem Schritt 104 wird der Speicherinhalt Al, der sich 
unter der in dem Adressregister Rom^Adr gespeicherten 

10 Adresse in dem Nur-Lese-Speicher 21 befindet, in das 

Register Dx der Recheneinheit REl geladen. Dazu wird die in 
dem Register Rom__Adr gespeicherte Adresse, die 
beispielsweise auf den Speicherbereich Al verweist, uber 
die Adressleitung 25a dem Nur-Lese-Speicher 21 ubermittelt- 

15 * Dieser sendet dann die sich in dem entsprechenden 
Speicherbereich Al befindlichen Daten mittels der 
Datenleitung 25b an die Recheneinheit REl, wo sie in dem 
Register Dx abgelegt werden. Das Adressregister Rom_Adr 
wird, daraufhin in einem Schritt 105 urn eine Datenadresse 

20 erhdht. 

In einem Schritt 106 wird der Inhalt des Signaturregisters 
Sx urn eine Stelle (entspricht einem Bit) nach links 
verschoben (left-shift) . Dabei wird eine Schreibweise fur 

25 Binardaten zugrunde gelegt, bei der das hochstwertige Bit, 
das sogenannte MSB (Most Significant Bit) , stets links 
notiert wird. Dieser left-shift innerhalb des 
Signaturregisters Sx bewirkt, dass das MSB aus dem 
entsprechenden Datenwort herausfallt und in dem Carry-Flag 

30 CF abgelegt wird. 

In einem Schritt 107 wird mittels der ALU SO ein EXOR- 
Operator auf das Datenregister Dx und das Signaturregister 
Sx angewendet und das Ergebnis in dem Signaturregister Sx 
35 abgelegt. In einem Abf rageschritt 108 wird uberpruft, ob 
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der in dem Carry-Flag CF abgelegte Wert MSB gleich 1 ist. 
1st dies nicht der Fall, so wird zU einem Schritt 110 
verzweigt. Gilt aber MSB = 1, so wird in einem Schritt 109 
das in dem Register Gx abgelegte Generatorpolynom von dem 
5 aktuellen Wert des Signaturregisters Sx subtrahiert, was 
mittels einer EXOR-Operation in der ALU 80 erreicht vy^ird. 

In dem folgenden Schritt 110 wird nun der Inhalt des 
Datenregisters Dx invertiert. Daraufhin wird in dem Schritt 

10 111 der Inhalt des Signaturregisters Sx erneut um ein Bit 
nach links geschoben und das herausf allende Bit wird dabei 
als MSB in dem Carry-Flag CF abgelegt, wobei der bisher 
dort gespeicherte Wert uberschrieben wird. In Schritt 112 
wi'rd mittels der ALU 80 der EXOR-Operator wieder auf das 

15 Datenregister Dx und das. Signaturregister Sx angewendet und 
das Ergebnis in dem Signaturregister Sx abgelegt-. 

In einem Abf rageschritt 113 wird analog zu Schritt 108 
iiberpriift, ob der in dem Carry-Flag CF abgelegte Wert MSB 

20 gleich eins ist. Ist dies nicht der Fall, so wird zu einem 
Abf rageschritt 115 verzweigt- Gilt aber MSB = 1, so wird in 
einem Schritt 114 das in dem Register Gx abgelegte 
Generatorpolynom von dem aktuellen Wert des 
Signaturregisters Sx subtrahiert, was wieder mittels der 

25 EXOR-Operation in der ALU 80 erreicht wird. 

In dem Abf rageschritt 115 wird uberpruft, ob ein Ende des 
Datenwortes, iiber das die Signatur gebildet wird, bereits 
erreicht ist. Ist dies nicht der Fall, so wird das 
30 Verfahren an dem Schritt 104 fortgesetzt. Ist das Ende des 
Datenwortes erreicht, so endet das Verfahren, wobei sich 
nun in dem Signaturregister Sx die erzeugte Signatur 
bef indet , 



35 Das erf indungsgemali vorgeschlagene Sof tware-Verf ahren zur 
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Signaturbildung arbeitet nach dem sogenannten MISR 
(Multiple-Input Signature Register ) -Verfahren . Es bildet 
das an sich in Hardware bekannte Verfahren in Software ab. 

5 In Figur 6 ist ein Funktionsprinzip des MISR-Ver f ahrens in 
Hardware fur Datenworte von 5 Bit Breite (DO bis D4 ) 
dargestellt. SRBO bis SRB4 stellen 5 Bitspeicher 
(FlipFlops) des ruckgekoppelten Schieberegisters zur 
Signaturbildung dar. An jedem Bitspeicher-Eingang sitzt ein 

10 Modulo-2-Addierer (+) mit zwei oder drei Eingangen. An dem 
ersten Eingang des Addierers liegt ein Bit des zu 
komprimierenden Datenwortes D (Di), an dem zweiten Eingang 
liegt der Ausgang des davor liegenden Bitspeichers SRB 
(SRBi-i) und an dem dritten Eingang liegt gegebenenf alls der 

15 Ausgang des hochsten Bitspeichers SRB4 des 
Schieberegisters . 

In dem vorliegenden Fall, indem die Datenworte binar 
codiert sind, wird durch einen Modulo-2-Addierer der Rest 

20 der Division (Di + SRBi-i + SRB^) /2 beziehungsweise der 
Division (Di + SRBi-i) /2 gebildet. Das gesamte 
Signaturregister Sx bildet ebenfalls einen Restwert . Der 
gesamte Eingangsdatenblock, der aus Datenworten mit einer 
Lange von 5 Bit besteht, kann vereinfacht als ein 

25 sequentieller Datenstrom betrachtet warden, der durch einen 
Wert, das Divisor -Polyaom, dividiert wird. Der Rest dieser 
Division befindet sich anschlieBend in dem Signaturregister 
Sx, 

30 Mathematisch kann die Arbeitsweise von Signaturregistern 
durch die Polynomdarstellung von Binarzahlen beschrieben 
werden. Fur die Polynomdarstellung einer Binarzahl werden 
die 1-Ziffern in der Binarzahl durch entsprechende Terme x" 
ersetzt, wobei der Exponent n der Stellen-Wertigkeit der 

35 entsprechenden 1 entspricht. Dem Divisorpolynom 
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G (x) =x^+x^+x^+x° in Figur 6 entspricht die Binarzahl lOlOll. 
Da ein Divisorpolynom aulier zur Datenkomprimierung auch zur 
Datengeneration verwendet werden kann, wird das 
Divisorpolynom auch Generatorpolynom G(x) genannt . Ebenso 
5 kann der Eingangsdatenstrom als Polynom D(x) und der Inhalt 
des Signaturregisters als Polynom S(x) dargestellt werden. 

In dem Signaturregister Sx wird die Division durch das 
Divisorpolynom durch wiederholte Subtraktion des 

10 Divisorpolynom-Wertes von dem Schieberegister-Inhal t 

vorgenommen - Jedes mal wenn aus dem hochsten Bitspeicher 
SRB4 der Wert 1 herausgeschoben wird und somit in einem 
langeren Schieberegister der Term x^ in dem nicht 
vorhandenen Bitspeicher SRB5 (entsprechend dem Carry-Flag 

15 CF in Figur 4, 5) gesetzt wurde^ wird der ■ in dem 

Schieberegister gespeicherte Wert um x^+x^+x^+x° verringert. 
Das Herausschieben aus SRB4 verringert uni x^, die 
RUckkopplung iiber die Modulo-2-Addierer verringert den 
Schieberegister-Wert um x^+-x^+x^, well die Modulo-2 -Addition 

20 in diesem Fall einer Modulo-2-Subtraktion entspricht. Die 
Hardware-Darstellung des Divisorpolynoms wird durch die 
Riickkopplungspf ade von dem hochsten Bit des 
Schieberegisters zu den Modulo-2-Addierern gebildet . 

25 In Figur 6 sind die Modulo-2-Addierer vor folgenden 

Bitspeichern mit SRB4 verbunden: SRB3, SRBl, SRBO. Das 
zugehorige Polynom lautet x^+x'^+x'^-f >:° . Der Term x^ mit dem 
Exponent 5 (entsprechend der Lange des Schieberegisters + 
1) ist enthalten, well das hochs twertige Bit MSB 

30 hinausgeschoben und damit subtrahiert wird. Mathematisch 
lasst sich zeigen, dass der in dem Signaturregister 
verbleibende Rest dem Rest entspricht, der durch die 
Division des Datenstroms D(x) durch das Generatorpolynom 
G{x) entsteht. 



35 
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Nachfolgend wird mittels einer rekursiven Funktion gezeigt, 
welche mathematischen Operationen zur Bildung der Signatur 
S(x) in dem Signaturregister erforderlich sind. Es 
bezeichnet : 

Si(x): aktueller Wert des Signaturregisters; 

Si+i(x): nachster Wert des Signaturregisters nach der 

Verarbeitung des Datenworts/ und 
Di(x): aktueller Wert des Datenregisters . 

Die Signatur nach dem i-ten Verarbeitungszyklus ist dann: 

S*,^, (x) = [d, (x) + xS, (x)]mod G(x) 

Die Multiplikation der Signatur Si(x) mit x^ stellt das 
Schieben des Schieberegisters um eine Bitposition nach 
.links dar (left shift). Das Zeichen ist eine Modulo-2- 

Addition beziehungsweise Subtraktion des Signaturregisters 
mit dem aktuellen Datenwort. Der Begriff modG(x) bedeutet, 
dass in dem Signaturregister immer der Rest bezuglich der 
Division S(x)/G(x) steht . Dies wird in der Hardware-Losung, 
wie schon beschrieben, dadurch erreicht, dass immer dann, 
wenn das hochste Bit in dem Schieberegister = 1 ist, das 
Generatorpolynom G(x) von dem Wert Si{x) des 
Schieberegisters abgezogen wird. 

Bei einer Sof tware-Realisierung des MISR-Verf ahrens, wie es 
beispielsweise in Figur 5 dargestellt ist, konnen die 
Modulo~2-Addierer gema/J Figur 7 als EXOR-Operationen 
realisiert sein. An den Stellen, wo zwei Bits zu addieren 
sind, ist eine EXOR-Operation vorgesehen, an den Stellen, 
wo drei Bits zu addieren sind, wird dies durch zwei 
aufeinanderfolgende EXOR-Operationen durchgef uhrc , Die 
Hardware-Darstellung kann in Software umgesetzt warden, 
indem folgende Schritte fur jedes zu verarbeitende 
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Datenwort D durchgefuhrt werden. 

1- Der Anfangsinhalt des Signaturregisters sei 00000. 

2. Schiebe den Inhalt des Signaturregisters urn eine 

5 Position nach links. Mathematisch bedeutet dies die 

Multiplikation des Signaturregisterwertes mit x, 
also Si+i(K) = xSi(x). 

3. Bilde EXOR aus aktuellem einzulesendem Datenwort 
Di(x) und dem Inhalt des Signaturregisters S(x>, 

10 also Si+i(x)=Di(x)+xSi(x) . 

4. Falls SRB4=1: Bilde EXOR aus Signaturregister S(x) 
und Generatorpolynom G(x), Damit ist Si-,i(x) = 
Si+i(x)+G(x) = [Di(x)+xSi(x) ]modG(x) . 

15 Die beschriebenen Signaturbildung uber einen ROM-Speicher 
kann auf jedem beliebigen Rechengerat realisiert werden. 
Wie bereits erwahnt, werden zur Realisierung dieses 
Signaturbildungsverf ahrens auf einem Prozessor vier 
Register benotigt: 

20 

ROM^Adr als Adressregister fur das ROM; 

als Register fur das aktuelle zu verarbeitende 

Datenwort; 
Sx als Signaturregister; und 

25 Gx als Register fur die Speicherung des 

Generatorpolynoms . 

Der symbolische Programmablauf in Assembler ist dann wie 
folgt : 

30 

Start: Lade ROM_Adr mit Anf angsadresse des ROM 
Init: Lade Sx mit 0 (So(x)=0} 

Lade Gx mit Generatorpolynom 
Loop: Lade Dx mit Inhalt von ROM_Adr 

35 Erhohe ROM Adr urn 1 
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MISR: Schiebe Sx um 1 Bit nach links, hochstes Bit: in 

Carry-Bit (xS (x) ) 

Bilde EXOR Dx mit Sx (D(x)+xS(x)) 
Wenn Carry-Bit gesetzt, bilde EXOR Sx mit Gx 
5 ( [D(x) +xS (x) ]modG (x) ) 

Vergleiche ROM_Adr mit Endadresse ROME 
Wenn ungleich, gehe zu Loop 



10 
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10 

Anspriiche 

1. Verfahren zur Ubertragung von Daten (D) , bei dem nach 
einem vorgebbaren Signaturbildungsver f ahren (SBV) eine 

15 erste Signatur (S) in Abhangigkeit der zu ubertragenden 

Daten (D) gebildet, die erste Signatur (S) zusammen mit den 
Daten (D) in sogenannten Botschaften ubertragen, nach dem 
Signaturbildungsverf ahren eine zweite Signatur (S' ) in 
Abhangigkeit von den ubertragenen Daten (D' ) gebildet und 

20 die erste Signatur (S) mit der zweiten Signatur (S' ) 
verglichen wird, dadurch gekennzelchnet/ dass die zu 
ubertragenden Daten (D) invertiert werden, nach dem 
vorgebbaren Signaturbildungsverf ahren (SBV) in Abhangigkeit 
der zu ubertragendenden Daten (D) und der invertierten 

25 Daten (Di) die erste Signatur (S) gebildet wird, die erste 
Signatur (S) und die Daten (D) ubertragen werden, die 
ubertragenen Daten (D' ) invertiert werden, in Abhangigkeit 
dieser invertierten Daten (Di'} und der ubertragenen Daten 
(D') nach dem Signaturbildungsverf ahren (SBV) die zweite 

30 Signatur (S' > gebildet wird und die erste Signatur (S) mit 
der zweiten Signatur (S') verglichen wird. 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet , 
dass mittels eines Signaturregisters (Sx) mit mehreren 
Eingangen (MISR; Multiple Input Shift Register) die erste 
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Signatur (S) und/oder die zweite Signatur (S') bit-parallel 
(wortweise) gebildet werden. 

3. Verfahren nach Anspruch 1 oder 2, dadurch 
gekennzeichnet, dass die erste Signatur (S) und/oder die 
zweite Signatur (S') uber mehrere Botschaften gebildet 
werden . 

4. Verfahren nach Anspruch 3, dadurch gekennzeichnet , 
dass eine Signatur (S) auf mehrere Botschaften verteilt 
iibertragen wird. 

5. " Verfahren nach einem der Anspruche 1 bis 4, wobei die 
2u ubertragenden Daten (D) bitgenaue Eingangsdaten sind, 
die beispielsweise in Botschaften uber' Datenbusse zu den 
Recheneinheiten gelangen, odeir Berechnungsergebnisse sind, 
die parallel auf mehreren Rechnern redundant erzeugt 
werden, dadurch gekennzeichnet , dass zur Uberprufung einer 
Obereinstimmung dieser Daten (D) lediglich die 
entsprechenden Signaturen (S) ubertragen werden. 

6. Verwendung eines Verfahrens nach einem der Anspruche 1 
bis 5, dadurch gekennzeichnet , dass das erf indungsgemaiie 
Verfahren zur Oberprufung des Inhaltes eines 
Speicherbereiches eines Nur-Lese-Speichers (21), Flash- 
Speichers oder eines Schreib-Lese-Speichers (22) eingesetzt 
wird. 

7. Verwendung nach Anspruch 6 dadurch gekennzeichnet, 
dass die Daten (D) des zu uberpruf enden Speicherinhaltes 
invertiert werden, nach dem vorgebbaren 
Signaturbildungsverfahren (SBV) in Abh^ngigkeit der zu 
uberprufenden Daten (D) and der invertierten Daten (Djl) 
eine erste Signatur (S) gebildet und in einem 
Speicherbereich eines Nur-Lese-Speichers (21), Flash- 
Speichers oder eines Schreib-Lese-Speichers (22) als eine 
Sollsignatur abgespeichert wird und dass fur eine 
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Uberpriifung der sich in dem zu uberprQf enden 
Speicherbereich befindlichen Daten (D' ) / die Daten (D' ) 
invertiert werden, in Abhangigkeit dieser invertierten 
Daten (Di') und der Daten (D' ) nach dem 
5 Signaturbildungsverf ahren (SBV) die zweite Signatur (S') 

gebildet wird und mit der Sollsignatur (S) verglichen wird. 

8. ' Computerprogramm, das auf einem Rechengerat Oder einem 
Steuergerat (SGI, SG2) , insbesondere auf einer 
Recheneinheit (REl, RE2, RE3, RE4), ablauffahig ist, 

10 dadurch gekennzeichnet, dass das Computerprogramm zur 

Ausfuhrung eines Verfahrens nach einem der Anspruche 1 bis 
5 geeignet ist, wenn es auf einer Recheneinheit (REl, RE2, 
RE3, RE4) ablauft. 

9. Computerprogramm nach Anspruch 8, dadurch 

15 gekennzeichnet , dass das Computerprogramm auf einem 

Speicherelement ((20, 30), insbesondere auf einem Schreib- 
Lese-Speicher mit wahlfreiera Zugrif f (RAM; Random-Access - 
Memory) (22, 32)., -einem Nur-Lese-Speicher (ROM; Read-Only- 
Memory) (21, 31) Oder einem Flash-Speicher (Flash-Memory), 

20 abgelegt ist. 

10. Steuergerat ' (SGI ) fiir ein Kraf t f ahrzeug, umfassend 
mindestens eine Recheneinheit (REl) und ein Speicherelement 
(20), auf dem ein Computerprogramm abgelegt ist, das auf 
der Recheneinheit REl ablauffahig ist, dadurch 

25 gekennzeichnet, dass das Steuergerat (SGI) zur Ausfuhrung 
eines Verfahrens nach einem der Anspruche 1 bis 5 geeignet 
ist, wenn das Computerprogramm auf der Recheneinheit (REl) 
ablauft . 



30 
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In REl: 

Bilde erste Signatur S 



Obertrogung von REl noch RE2 
QZ""^ D. S D', S 
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I 



In RE2: 

Bilde zweite Signatur S' 




netn 



fail silent 
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Fig. 2 



wo 2004/045131 




'CT/DE2003/003691 



3/7 




wo 2004/045131 ^^CT/DE2003/003691 

4/7 





wo 2004/045131 



5/7 



CT/DE2003/003691 



101 
102 

103 



100 "-^ (Stort) 



Lade Adressregister mil ROM-Anfangsadresse 

* 



Lade Signoturregister mit Anfangswert 0 



I 



Lode Generolorregister mit Generatorpoiynom 



105- 

106 

107- 



Lade Speicherinhall in Datenregisler j 



ErhQhe Adressregister um 1 Ootenadresse 



I 



Schiebe Sipnaturregister um 1 Bit noch tinks. 
hiebe MSB in dos Corry-Flog 



Schu 



I 



EXOR Datenregisler mil Signoturregister 

108 



109- 

110' 

111 
112 




EXOR Signoturregister mit Generotorpolyaom-Register 



Invertiere den Speicherinhall im Dotenregister I 



Schiebe Signoturregister um 1 Bit noch links. 
Schiebe MSB in das Corry-Flog 
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^= (54) Title: METHOD FOR FORMING A SIGNATURE AND TRANSMITTING DATA 

^ (54) Bezeichnung: VERFAHREN ZUR SIGNATURBILDUNG UND OBERTRAGUNG VON DATEN 

= (57) Abstract: The invention relates to a method for transmitting data, in which a first signature (S) is formed according to a prede- 
^ finab e signature generation method (SBV), depending on the data (D) to be transmitted, the first signature (S) is transmitted together 
= with the data (D), a second signature (S') is genemted according to the signature generation method, depending on the data that has 
_ been transmitted (D ) and the first signature (S) is compared with the second signature (S'). The aim of the invention is to reduce the 

error masking probability during the transmission of data (D) using a signature analysis. To achieve this, the data to be transmitted 

^ is inverted (D), the first signature (S) is formed according to the predefinable signature generation method (SBV), depending on the 
^ data to be transmitted (D) and the inverted data (DO. the first signature (S) and the data (D) are transmitted, the transmitted data CD') 
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(5^ Zusanunenfassung: Die Eifindung belriffi ein Verfahren zur Obertragung von Daten. bei dem nach einem voi^ebbaien Signa- 
tuibildungsverfahren (SBV) eine eiste Signatur (S) in Abhtagigkeit der zu (Ibertragenden Daten (D) gebildet. die erste Signatur (S) 
zusammen mit den Daten (D) Obertragen, nach dem Signatuibildungsverfahren eine zweite Signatur (S') in Abhangigkeit von den 
ubertragenen Daten (D-) gebildet und die erste Signatur (S) mit der zweiten Signatur (S') verglichen wird. Um bei der tJbenvachung 
derUbertragung der Daten (D) mittels Signaturanalyse die Fehlermaskierungswahrscheinlichkeit zu reduzieren, wird vorgeschlagen 
dass die zu Ubertragenden Daten (D) invertiert werden, nach dem voigebbaren Signaturbildungsverfahren (SBV) in AbhSngigkeit 
der zu ubertragendenden Daten (D) und der invertierten Daten (DO die erste Signatur (S) gebildet wird, die erste Signatur (S) und die 
Daten (D) bbertragen werden, die ilbertiagenen Daten (D') invertiert weiden. in Abhangigkeit dieser invertierten Daten CD,-) und der 
ubertragenen Daten (D") nach dem Signaturbildungsverfahren (SBV) die zweite Signatur (S*) gebildet wird und die erste Signatur 
(S) nut der zweiten Signatur (S') veiglichen wird. 
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